第 4 章：Windows XP 管理模板

Windows XP 安全指南

第 4 章：Windows XP 管理模板

更新日期： 2006年07月17日

本页内容

概述

本章详细介绍如何使用管理模板来配置附加安全设置并将这些设置应用到带 Service Pack 2 (SP2) 的 Microsoft® Windows® XP Professional。管理模板 (.adm) 文件用于配置 Windows XP 注册表中的一些设置，这些设置控制许多服务、应用程序和操作系统组件的行为。

Windows XP SP2 附带的五个管理模板包括数百个附加设置，可以用于提高 Windows XP Professional 的安全性。Microsoft Windows Server™ 2003 管理模板中的许多设置不适用于 Windows XP。有关可用于 Windows XP 的所有管理模板设置的完整列表，请参阅本章结尾处“更多信息”部分中引用的 Microsoft Excel® 工作簿“Policy Settings”。

下表列出了 .adm 文件以及它们影响的应用程序和服务。

表 4.1 管理模板文件

文件名	操作系统	描述
System.adm	Windows XP Professional	包含许多用于自定义用户的操作环境的设置。
Inetres.adm	Windows XP Professional	包含 Internet Explorer 6.0 的设置。
Conf.adm	Windows XP Professional	包含用于配置 Microsoft NetMeeting® 的设置。
Wmplayer.adm	Windows XP Professional	包含用于配置 Windows Media Player 的设置。
Wuau.adm	Windows XP Professional	包含用于配置 Windows Update 的设置。

注意：您必须手动配置组策略对象 (GPO) 中的管理模板设置，才能将它们应用于您所在环境中的计算机和用户。

管理模板中有两组主要设置：

计算机配置设置（存储在 HKEY_Local_Machine 注册表配置单元中）
用户配置设置（存储在 HKEY_Current_User 注册表配置单元中）

如第三章“Windows XP 客户端安全设置”所述，针对本指南中定义的企业客户端 (EC) 环境和专用安全 – 限制功能 (SSLF) 环境提供了设置建议。

注意：用户设置通过链接 GPO 应用于包含用户的组织单位 (OU)。有关此 OU 的附加详细信息，请参阅第 2 章“配置 Active Directory 域基础结构”。

在组策略对象编辑器中，一些设置在计算机配置和用户配置下都是可用的。如果将某个设置应用于登录到某台计算机的用户，同时已经通过组策略将相同的计算机配置设置应用于该计算机，则计算机配置设置优先于用户配置设置。

本指南的以前版本包含有关 Office XP 设置的信息。然而，现在已经针对 Office 2003 更新了这些设置，并在 Microsoft 网站上提供。有关指向此信息的链接，请参阅本章末尾的“更多信息”一节。

本章并不介绍 Microsoft 提供的管理模板的所有可能设置；这些设置中许多是不针对安全性的用户界面 (UI) 设置。请根据所在组织的安全性目标，决定本指南中哪些建议的设置配置适用于您的环境。

如果存在要通过组策略应用到 Windows XP Professional 的其他设置，您可以开发自己的自定义模板。有关如何开发自己的管理模板的详细信息，请参阅本章结尾处“更多信息”一节中列出的白皮书。

返回页首

计算机配置设置

以下各节论述了组策略对象编辑器中“计算机配置”下建议的设置。请在以下位置配置这些设置：

计算机配置\管理模板

此位置具体显示如下图：

图 4.1 计算机配置的组策略结构

本章的结构基于组策略中的容器结构。下面部分中的表格汇总了各种计算机配置选项的设置建议。建议内容涵盖下列两种安全环境中的桌面和便携式客户端计算机：企业客户端 (EC) 环境和专用安全 - 限制功能 (SSLF) 环境。每个表格后面的小节提供了每个设置的详细信息。

请通过链接至 OU（其中包含所在环境中的计算机帐户）的 GPO 来应用这些设置。然后将便携式计算机设置包括在链接到便携式计算机 OU 的 GPO 中，并将桌面计算机设置包括在链接到桌面计算机 OU 的 GPO 中。

Windows 组件

下图说明本节中的设置更改将影响的组策略部分：

图 4.2 计算机配置“Windows 组件”的组策略结构

NetMeeting

Microsoft NetMeeting 允许用户通过组织中的网络召开虚拟会议。您可以在组策略对象编辑器的下列位置中配置下列规定的计算机设置：

计算机配置\管理模板\Windows 组件\
NetMeeting

表 4.2 推荐的 NetMeeting 设置

设置	EC 桌面计算机	EC 便携式计算机	SSLF 桌面计算机	SSLF 便携式计算机
禁用远程桌面共享	未配置	未配置	已启用	已启用

禁用远程桌面共享

此策略设置禁用 NetMeeting 的远程桌面共享功能。如果启用此策略设置，用户无法将 NetMeeting 配置为允许远程控制本地桌面。

对于 EC 环境，“禁用远程桌面共享”设置被配置为“未配置”。但是，对于 SSLF 环境则配置为“已启用”，从而防止用户通过 NetMeeting 远程共享桌面。

Internet Explorer

Microsoft Internet Explorer 组策略可帮助您强制执行对 Windows XP 工作站的安全要求，并防止通过 Internet Explorer 交换不想要的内容。使用以下标准可以保护环境中工作站的 Internet Explorer：

确保仅在直接响应用户操作时才发出 Internet 请求。
确保发送到特定网站的信息仅到达这些站点，除非允许特定的用户操作将信息传输到其他目的地。
确保清楚地识别到服务器/站点的受信任通道以及拥有每个通道上的服务器/站点的人员。
确保与 Internet Explorer 一起运行的任何脚本或程序在受限制环境中执行。通过受信任通道传送的程序可能被设置为在受限制环境之外运行。

您可以在组策略对象编辑器的下列位置中配置下列规定的 Internet Explorer 计算机设置：

计算机配置\管理模板\Windows 组件\Internet Explorer

下表汇总了许多 Internet Explorer 设置建议。表后的小节提供了有关每个设置的附加信息。

表 4.3 推荐的 Internet Explorer 设置

设置	EC 桌面计算机	EC 便携式计算机	SSLF 桌面计算机	SSLF 便携式计算机
禁用 Internet Explorer 组件的自动安装	已启用	已启用	已启用	已启用
禁用定期检查 Internet Explorer 软件更新	已启用	已启用	已启用	已启用
禁用程序启动时的软件更新外壳通知	已启用	已启用	已启用	已启用
禁止用户启用或禁用加载项	已启用	已启用	已启用	已启用
根据计算机设置代理服务器（不是根据用户）	已启用	已禁用	已启用	已禁用
安全区域：禁止用户添加或删除站点	已启用	已启用	已启用	已启用
安全区域：禁止用户更改策略	已启用	已启用	已启用	已启用
安全区域：仅使用计算机设置	已启用	已启用	已启用	已启用
关闭故障检测	已启用	已启用	已启用	已启用

禁用 Internet Explorer 组件的自动安装

如果启用此策略设置，当用户浏览需组件具有完整功能的网站时，Internet Explorer 将无法下载组件。如果禁用或未配置此策略设置，系统将在用户访问使用组件的网站时提示用户下载并安装该组件。

对于本章中论述的两种环境，“禁用 Internet Explorer 组件的自动安装”设置被配置为“已启用”。

注意：启用此策略设置之前，Microsoft 建议您设置替代策略来通过 Microsoft Update 或类似服务更新 Internet Explorer。

禁用定期检查 Internet Explorer 软件更新

如果启用此策略设置，Internet Explorer 将无法确定新的浏览器版本是否可用以及在可用时通知用户。如果禁用或未配置此策略设置，Internet Explorer 将每隔 30 天（其默认设置）检查更新并在可用时通知用户。

对于本章中论述的两种环境，“禁用定期检查 Internet Explorer 软件更新”设置被配置为“已启用”。

注意：启用此策略设置之前，Microsoft 建议您为组织中的管理员设置替代策略，以确保他们可以定期为环境中的客户端计算机上的 Internet Explorer 接受新的更新。

禁用程序启动时的软件更新外壳通知

此策略设置指定了使用 Microsoft 软件分发频道的程序在它们安装新组件时不向用户发出通知。软件分发频道用于动态更新用户计算机上的软件；此功能基于开放式软件分发 (.osd) 技术。

对于本章中论述的两种环境，“禁用程序启动时的软件更新外壳通知”设置被配置为“已启用”。

禁止用户启用或禁用加载项

此策略设置使您可以管理用户是否能够通过“管理加载项”允许或拒绝加载项。如果将此策略设置配置为“已启用”，用户无法通过“管理加载项”启用或禁用加载项。唯一例外是一个加载项已专门输入到“加载项列表”策略设置以允许用户继续管理该加载项。在这种情况下，用户仍然可以通过“管理加载项”管理该加载项。如果将此策略设置配置为“已禁用”，用户将能够启用或禁用加载项。

注意：有关如何管理 Windows XP SP2 中 Internet Explorer 加载项的详细信息，请参阅 KB 文章 883256“如何在 Windows XP Service Pack 2 中管理 Internet Explorer 附件”，网址为 http://support.microsoft.com/?kbid=883256。

用户通常选择安装组织的安全策略不允许的加载项。此类加载项可能对您的网络造成很大的安全和隐私风险。因此，对于本指南中论述的两种环境，此策略设置被配置为“已启用”。

注意：您应该查看“Internet Explorer\安全功能\加载项管理”中的 GPO 设置，确保经过适当授权的加载项仍然可以在您的环境中运行。例如，您可能需要阅读 Microsoft 知识库文章“Outlook Web Access and Small Business Server Remote Web Workplace do not function if XP Service Pack 2 Add-on Blocking is enabled via group policy”，网址为 http://support.microsoft.com/default.aspx?kbid=555235。

根据计算机设置代理服务器（不是根据用户）

如果启用此策略设置，则禁止用户改变用户特定代理设置。他们必须使用为其访问的计算机的所有用户创建的区域。

对于本章中论述的两种环境的桌面客户端计算机，“根据计算机设置代理服务器（不是根据用户）”设置被配置为“已启用”。但是，对于便携式客户端计算机，该策略设置则配置为“已禁用”，因为移动用户在旅行时可能需要更改其代理设置。

安全区域：禁止用户添加或删除站点

启用此策略设置将禁用安全区域的站点管理设置。（要查看安全区域的站点管理设置，请打开 Internet Explorer，依次选择“工具”和“Internet 选项”，单击“安全”选项卡，然后单击“站点”。）如果禁用或未配置此策略设置，用户将无法在“受信任的站点”和“受限制的站点”区域添加或删除网站，以及修改“本地 Intranet”区域的设置。

对于本章中论述的两种环境，“安全区域：禁止用户添加或删除站点”被配置为“已启用”。

注意：如果启用“禁用安全页”设置（位于“\用户配置\
管理模板\Windows 组件\Internet Explorer\Internet 控制面板”中），则将从界面中删除“安全”选项卡，并且“禁用”设置将优先于此“安全区域：”设置。

安全区域：禁止用户更改策略

如果启用此策略设置，则会禁用“Internet 选项”对话框中的“自定义级别”按钮和“该区域的安全级别”滑块。如果禁用或未配置此策略设置，用户将能够更改安全区域的设置。它防止用户更改管理员建立的安全区域策略设置。

对于本章中论述的两种环境，“安全区域：禁止用户更改策略”被配置为“已启用”。

注意：如果启用“禁用安全页”设置（位于“\用户配置\
管理模板\Windows 组件\Internet Explorer\Internet 控制面板”中），则将在控制面板中从 Internet Explorer 中删除“安全”选项卡，并且“禁用”设置将优先于此“安全区域：”设置。

安全区域：仅使用计算机设置

此策略设置影响安全区域更改如何应用到不同用户。它旨在确保安全区域设置在同一计算机上始终保持有效性，而不随用户的不同而不同。如果启用此策略设置，某个用户对安全区域所做的更改将应用于该计算机的所有用户。如果禁用或未配置此策略设置，则允许同一计算机的用户建立自己的安全区域设置。

对于本章中论述的两种环境，“安全区域：仅使用计算机设置”设置被配置为“已启用”。

关闭故障检测

此策略设置使您能够管理 Internet Explorer 中加载项管理的崩溃检测功能。如果启用此策略设置，Internet Explorer 中的崩溃将类似于运行带有 Service Pack 1 的 Windows XP Professional 或更早版本的计算机上的崩溃：将调用 Windows 错误报告。如果禁用此策略设置，加载项管理中的崩溃检测功能将起作用。

Internet Explorer 崩溃报告信息可能包含来自计算机内存的敏感信息，因此对于本章中论述的两种环境，“关闭故障检测”设置被配置为“已启用”。如果您经常遇到重复崩溃并需要报告它们以便后续疑难解答，则可以暂时将该策略设置配置为“已禁用”。

Internet Explorer\Internet 控制面板\安全页

您可以在组策略对象编辑器的下列位置配置这些计算机设置：

计算机配置\管理模板\Windows 组件\Internet Explorer\Internet 控制面板\安全页

SP2 引入了许多新的策略设置，可以帮助您保护环境中的 Internet Explorer 区域配置。这些设置的默认值提供比 Windows 早期版本增强的安全性。但是，您可能需要检查这些设置，根据可用性或应用程序兼容性确定在您的环境中是否要求或放松这些策略。

例如，SP2 将 Internet Explorer 配置为默认情况下阻止所有 Internet 区域的弹出窗口。您可能需要确保对环境中的所有计算机强制实施此策略设置，以消除弹出窗口并减少恶意软件和间谍软件安装（通常从 Internet 网站产生）的可能性。反之，您的环境可能包含需要使用弹出窗口才能运行的应用程序。如果这样，您可以将此策略配置为允许 Intranet 内网站的弹出窗口。

Internet Explorer\Internet 控制面板\高级页

您可以在组策略对象编辑器的下列位置中配置下列规定的计算机设置：

计算机配置\管理模板\Windows 组件\Internet Explorer\Internet 控制面板\高级页

表 4.4 推荐的允许软件运行设置

设置	EC 桌面计算机	EC 便携式计算机	SSLF 桌面计算机	SSLF 便携式计算机
允许运行或安装软件，即使签名无效	已禁用	已禁用	已禁用	已禁用

允许运行或安装软件，即使签名无效

Microsoft ActiveX®控件和文件下载通常附加数字签名，以保证文件的完整性和软件签名者（创建者）的标识。此类签名帮助确保下载未经修改的软件，并且您可以肯定地识别签名者以确定是否充分信任他们而运行他们的软件。

“允许运行或安装软件，即使签名无效”设置使您可以管理是否即使签名无效用户也可以安装或运行下载的软件。无效签名可能表明有人篡改文件。如果启用此策略设置，用户在安装或运行具有无效签名的文件将出现提示。如果禁用此策略设置，用户无法运行或安装具有无效签名的文件。

未签名的软件可能造成安全漏洞，因此对于本章中论述的两种环境，此策略设置被配置为“已禁用”。

注意：某些合法软件和控件可能具有无效签名但仍然可以使用。允许在您的组织的网络上使用此类软件之前，应该在隔离环境中仔细测试这些软件。

Internet Explorer\安全功能\MK 协议安全限制

您可以在组策略对象编辑器的下列位置中配置下列规定的计算机设置：

计算机配置\管理模板\Windows 组件\Internet Explorer\安全功能\MK 协议安全限制

表 4.5 推荐的 MK 协议设置

设置	EC 桌面计算机	EC 便携式计算机	SSLF 桌面计算机	SSLF 便携式计算机
Internet Explorer 进程（MK 协议）	已启用	已启用	已启用	已启用

Internet Explorer 进程（MK 协议）

此策略设置通过阻止很少使用的 MK 协议来减小攻击面。某些旧 Web 应用程序使用 MK 协议从压缩文件检索信息。如果将此策略设置配置为“已启用”，则对 Windows 资源管理器和 Internet Explorer 阻止 MK 协议，从而导致使用 MK 协议的资源失败。如果禁用此策略设置，则允许其他应用程序使用 MK 协议 API。

由于 MK 协议未广泛使用，不需要时应被阻止。对于本章中论述的两种环境，此策略设置被配置为“已启用”。Microsoft 建议，除非环境中专门需要 MK 协议，否则阻止它。

注意：由于部署此策略设置时使用 MK 协议的资源将失败，您应确保您的应用程序都不使用 MK 协议。

Internet Explorer\安全功能\一致性 MIME 处理

您可以在组策略对象编辑器的下列位置中配置下列规定的计算机设置：

计算机配置\管理模板\Windows 组件\Internet Explorer\安全功能\一致性 MIME 处理

表 4.6 推荐的一致性 MIME 处理设置

设置	EC 桌面计算机	EC 便携式计算机	SSLF 桌面计算机	SSLF 便携式计算机
Internet Explorer 进程（一致性 MIME 处理）	已启用	已启用	已启用	已启用

Internet Explorer 进程（一致性 MIME 处理）

Internet Explorer 使用多用途 Internet 邮件扩展 (MIME) 数据来确定通过 Web 服务器接收的文件的文件处理过程。“一致性 MIME 处理”设置确定 Internet Explorer 是否要求 Web 服务器提供的所有文件类型信息均一致。例如，如果文件的 MIME 类型是文本/纯文本，但是 MIME 数据指示文件实际上是可执行文件，Internet Explorer 将更改其扩展名以反映此可执行状态。此功能有助于确保可执行代码无法伪装成可能被信任的其他类型的数据。

如果启用此策略设置，Internet Explorer 检查接收的所有文件并对其实施一致性 MIME 数据。如果禁用或未配置此策略设置，Internet Explorer 不要求对接收的所有文件实施一致性 MIME 数据，并将使用文件提供的 MIME 数据。

MIME 文件类型的欺骗是您的组织面临的潜在威胁。您应该确保这些文件都一致且正确标记以帮助防止恶意文件下载感染网络。对于本章中论述的两种环境，此策略设置被配置为“已启用”。

注意：此策略设置与“MIME 探查安全功能”设置一起工作，但是不取代该设置。

Internet Explorer\安全功能\MIME 探查安全功能

您可以在组策略对象编辑器的下列位置中配置下列规定的计算机设置：

计算机配置\管理模板\Windows 组件\Internet Explorer\安全功能\MIME 探查安全功能

表 4.7 推荐的 MIME 探查设置

设置	EC 桌面计算机	EC 便携式计算机	SSLF 桌面计算机	SSLF 便携式计算机
Internet Explorer 进程（MIME 探查）	已启用	已启用	已启用	已启用

Internet Explorer 进程（MIME 探查）

MIME 探查是检查 MIME 文件的内容以确定其上下文（是数据文件、可执行文件还是某些其他类型的文件）的进程。此策略设置确定 Internet Explorer MIME 探查是否将防止文件从一种类型提升为更危险的文件类型。当设置为“已启用”时，MIME 探查永不将文件从一种类型提升为更危险的文件类型。如果禁用此策略设置，MIME 探查将 Internet Explorer 进程配置为允许文件从一种类型提升为更危险的文件类型。例如，将文本文件提升为可执行文件是一种危险提升，因为这样将会执行文本文件中的任何代码。

MIME 文件类型的欺骗是您的组织面临的潜在威胁。Microsoft 建议您确保一致地处理这些文件，以帮助防止恶意文件下载感染网络。

对于本章中论述的两种环境，“Internet Explorer 进程（MIME 探查）”设置被配置为“已启用”。

注意：此策略设置与“一致性 MIME 处理”设置一起工作，但是不取代该设置。

Internet Explorer\安全功能\脚本化 Window 安全限制

您可以在组策略对象编辑器的下列位置中配置下列规定的计算机设置：

计算机配置\管理模板\Windows 组件\Internet Explorer\安全功能\脚本化 Window 安全限制

表 4.8 推荐的脚本化窗口限制设置

设置	EC 桌面计算机	EC 便携式计算机	SSLF 桌面计算机	SSLF 便携式计算机
Internet Explorer 进程（脚本化 Window 安全限制）	已启用	已启用	已启用	已启用

Internet Explorer 进程（脚本化 Window 安全限制）

Internet Explorer 允许脚本以编程方式打开各种类型的窗口、调整大小并重新定位。通常，不良网站将调整窗口大小以隐藏其他窗口或强制您与包含恶意代码的窗口交互。

“Internet Explorer 进程（脚本化 Window 安全限制）”设置限制弹出窗口，并且不允许脚本显示在其中标题和状态栏对用户不可见或隐藏其他窗口的标题或状态栏的窗口。如果启用此策略设置，则不在 Windows 资源管理器或 Internet Explore 进程中显示弹出窗口。如果禁用或未配置此策略设置，脚本仍可以创建弹出窗口以及隐藏其他窗口的窗口。

对于本章中论述的两种环境，“Internet Explorer 进程（脚本化 Window 安全限制）”设置被配置为“已启用”。启用时，此策略设置使得恶意网站难以控制您的 Internet Explorer 窗口或哄骗用户单击错误窗口。

Internet Explorer\安全功能\保护域提升

您可以在组策略对象编辑器的下列位置中配置下列规定的计算机设置：

计算机配置\管理模板\Windows 组件\Internet Explorer\安全功能\保护域提升

表 4.9 推荐的区域提升保护设置

设置	EC 桌面计算机	EC 便携式计算机	SSLF 桌面计算机	SSLF 便携式计算机
Internet Explorer 进程（区域提升保护）	已启用	已启用	已启用	已启用

Internet Explorer 进程（区域提升保护）

Internet Explorer 对打开的每个网页实施限制。这些限制依赖于网页的位置（例如 Internet 区域、Intranet 区域或本地计算机区域）。本地计算机上的网页具有最少的安全限制并且位于本地计算机区域，从而使本地计算机安全区域成为恶意攻击者的主要目标。

如果启用“Internet Explorer 进程（区域提升保护）”设置，可以防止 Internet Explorer 进程对任何区域执行区域提升。此方法阻止在一个区域中运行的内容获取对另一个区域的提升特权。如果禁用此策略设置，任何区域均不受到针对 Internet Explorer 进程的此类保护。

由于区域提升攻击的严重性和相对频繁性，对于本章中论述的两种环境，“Internet Explorer 进程（区域提升保护）”设置被配置为“已启用”。

Internet Explorer\安全功能\限制 ActiveX 安装

您可以在组策略对象编辑器的下列位置中配置下列规定的计算机设置：

计算机配置\管理模板\Windows 组件\Internet Explorer\安全功能\限制 ActiveX 安装

表 4.10 限制 ActiveX 安装设置

设置	EC 桌面计算机	EC 便携式计算机	SSLF 桌面计算机	SSLF 便携式计算机
Internet Explorer 进程（限制 ActiveX 安装）	已启用	已启用	已启用	已启用

Internet Explorer 进程（限制 ActiveX 安装）

此策略设置提供了阻止 Internet Explorer 进程的 ActiveX 控件安装提示的能力。如果启用此策略设置，将对 Internet Explorer 进程阻止 ActiveX 控件安装提示。如果禁用此策略设置，则不将阻止 ActiveX 控件安装的提示，这些提示将向用户显示。

用户通常选择安装组织的安全策略不允许的软件，如 ActiveX 控件。此类软件可能对网络造成很大的安全和隐私风险。因此，对于本章中论述的两种环境，“Internet Explorer 进程（限制 ActiveX 安装）”设置被配置为“已启用”。

注意：此策略设置还阻止用户安装将干扰 Windows Update 等重要系统组件的合法授权 ActiveX 控件。如果启用此策略设置，请确保实施某种其他方式来部署 Windows Server 更新服务 (WSUS) 等安全更新。
有关 WSUS 的详细信息，请参阅 Windows Server Update Services Product Overview 页面，网址为 www.microsoft.com/windowsserversystem/updateservices/evaluation/overview.mspx。
有关 Windows Update 的详细信息，请参阅 Windows Update 页面，网址为 http://windowsupdate.microsoft.com。

Internet Explorer\安全功能\限制文件下载

您可以在组策略对象编辑器的下列位置中配置下列规定的计算机设置：

计算机配置\管理模板\Windows 组件\Internet Explorer\安全功能\限制文件下载

表 4.11 推荐的限制文件下载设置

设置	EC 桌面计算机	EC 便携式计算机	SSLF 桌面计算机	SSLF 便携式计算机
Internet Explorer 进程（限制文件下载）	已启用	已启用	已启用	已启用

Internet Explorer 进程（限制文件下载）

在某些情况下，网站可以启动文件下载提示而无需用户交互。此技术可允许网站在用户单击错误的按钮并接受下载时将未经授权的文件放在用户的硬盘上。

如果将“Internet Explorer 进程（限制文件下载）”设置配置为“已启用”时，将对 Internet Explorer 进程阻止非用户启动的文件下载提示。如果将此策略设置配置为“已禁用”，则将对 Internet Explorer 进程允许非用户启动的文件下载提示。

对于本章中论述的两种环境，“Internet Explorer 进程（限制文件下载）”设置被配置为“已启用”，从而帮助防止攻击者在用户的计算机上放置任意代码。

Internet Explorer\安全功能\加载项管理

您可以在组策略对象编辑器的下列位置中配置下列规定的计算机设置：

计算机配置\管理模板\Windows 组件\Internet Explorer\安全功能\加载项管理

表 4.12 加载项管理设置

设置	EC 桌面计算机	EC 便携式计算机	SSLF 桌面计算机	SSLF 便携式计算机
除非在加载项列表中特别指定，拒绝所有加载项	推荐	推荐	推荐	推荐
加载项列表	推荐	推荐	推荐	推荐

除非在加载项列表中特别指定，拒绝所有加载项

此策略设置以及“加载项列表”设置使您能够控制 Internet Explorer 加载项。默认情况下，“加载项列表”设置定义要通过组策略允许或拒绝的加载项的列表。“除非在加载项列表中特别指定，拒绝所有加载项”设置确保除非在“加载项列表”设置中特别指定，否则拒绝所有加载项。

如果启用此策略设置，Internet Explorer 通过“加载项列表”仅允许特别列出（和允许）的加载项。如果禁用此策略设置，用户可使用加载项管理器允许或拒绝任何加载项。

应考虑使用“除非在加载项列表中特别指定，拒绝所有加载项”和“加载项列表”设置来控制可以用于您的环境的加载项。此方法将有助于确保只使用经过授权的加载项。

加载项列表

此策略设置以及“除非在加载项列表中特别指定，拒绝所有加载项”设置使您可以控制 Internet Explorer 加载项。默认情况下，“加载项列表”设置定义要通过组策略允许或拒绝的加载项的列表。“除非在加载项列表中特别指定，拒绝所有加载项”设置确保除非在“加载项列表”设置中特别指定，否则拒绝所有加载项。

如果启用“加载项列表”设置，则需要您列出 Internet Explorer 允许或拒绝的加载项。对于不同的组织而言，此列表上应该包括的加载项特定列表将所有不同，因此本指南不提供详细的列表。对于添加到列表的每个项，您必须提供下列信息：

值名称。要添加到列表的加载项的 CLSID（类标识符）。CLSID 应在方括号中；例如，{000000000-0000-0000-0000-0000000000000}。加载项的 CLSID 可通过从引用加载项的网页读取 OBJECT 标记来获取。
值。一个数字，指示 Internet Explorer 应该拒绝还是允许装入加载项。下列值有效：
- 0 拒绝此加载项
- 1 允许此加载项
- 2 允许此加载项并允许用户通过“管理加载项”对此加载项进行管理

如果禁用“加载项列表”设置，则删除列表。应考虑使用“除非在加载项列表中特别指定，拒绝所有加载项”和“加载项列表”设置来控制可以用于您的环境的加载项。此方法将有助于确保只使用经过授权的加载项。

终端服务\客户端/服务器数据重定向

终端服务设置提供的选项可将客户端计算机资源重定向到通过终端服务访问的服务器。以下设置是特定于终端服务的。

您可以在组策略对象编辑器的下列位置中配置下列规定的计算机设置：

计算机配置\管理模板\Windows 组件\终端服务\客户端/服务器数据重定向

表 4.13 推荐的不允许驱动器重定向设置

设置	EC 桌面计算机	EC 便携式计算机	SSLF 桌面计算机	SSLF 便携式计算机
不允许驱动器重定向	未配置	未配置	已启用	已启用

不允许驱动器重定向

此策略设置禁止用户将其客户端计算机上的本地驱动器共享给他们所访问的终端服务器。映射驱动器出现在 Windows 资源管理器或“我的电脑”的会话文件夹树中，格式如下：

\\TSClient\<驱动器号>$

如果共享本地驱动器，它们可能容易受到想利用存储在其上的数据的入侵者的攻击。

因此，对于 SSLF 环境，“不允许驱动器重定向”设置被配置为“已启用”。但是，对于 EC 环境，此策略设置被配置为“未配置”。

终端服务\加密与安全性

您可以在组策略对象编辑器的下列位置中配置下列规定的设置：

计算机配置\管理模板\Windows 组件\终端服务\加密与安全性

表 4.14 推荐的终端服务加密与安全性设置

设置	EC 桌面计算机	EC 便携式计算机	SSLF 桌面计算机	SSLF 便携式计算机
连接时总是提示客户端提供密码	未配置	未配置	已启用	已启用
设置客户端连接加密级别	高级	高级	高级	高级

连接时总是提示客户端提供密码

此策略设置指定在连接时终端服务是否总是提示客户端输入密码。可以使用此策略设置强制提示登录到“终端服务”的用户输入密码，即使他们已经在远程桌面连接客户端中提供了密码。默认情况下，“终端服务”允许用户通过在远程桌面连接客户端中输入密码来自动登录。

在 SSLF 环境中，“连接时总是提示客户端提供密码”设置被配置为“已启用”。但是，对于 EC 环境，此策略设置被配置为“未配置”。

注意：如果不配置此策略设置，本地计算机管理员可以使用终端服务配置工具允许或禁止自动发送密码。

设置客户端连接加密级别

此策略设置指定对于在宿主远程连接的计算机和客户端计算机之间为远程会话发送的所有数据，宿主远程连接的计算机是否将强制实施加密级别。

对于本章中论述的两种环境，加密级别被设置为“高级别”以强制实施 128 位加密。

终端服务\客户端

您可以在组策略对象编辑器的下列位置中配置下列规定的计算机设置：

管理模板\Windows 组件\终端服务\客户端

表 4.15 推荐的不允许保存密码设置

设置	EC 桌面计算机	EC 便携式计算机	SSLF 桌面计算机	SSLF 便携式计算机
不允许保存密码	已启用	已启用	已启用	已启用

不允许保存密码

此策略设置防止终端服务客户端将密码保存在计算机上。如果启用此策略设置，则禁用终端服务客户端的密码保存复选框，因此用户不再能够保存密码。

保存密码可导致其他安全危害，因此对于本章中论述的两种环境，“不允许保存密码”设置被配置为“已启用”。

注意：如果此策略设置以前配置为“已禁用”或“未配置”，终端服务客户端首次与任何服务器断开连接时，以前保存的密码将被删除。

Windows Messenger

Windows Messenger 用于将即时消息发送给计算机网络中的其他用户。消息可以包括文件和其他附件。

您可以在组策略对象编辑器的下列位置中配置下列规定的计算机设置：

计算机配置\管理模板\Windows 组件\Windows Messenger

表 4.16 推荐的 Windows Messenger 设置

设置	EC 桌面计算机	EC 便携式计算机	SSLF 桌面计算机	SSLF 便携式计算机
不允许运行 Windows Messenger	已启用	已启用	已启用	已启用

不允许运行 Windows Messenger

您可以启用“不允许运行 Windows Messenger”设置，以禁用 Windows Messenger 并防止执行该程序。因为此应用程序用于恶意目的（例如，垃圾邮件、分发恶意软件和泄露敏感数据），Microsoft 建议对于 EC 和 SSLF 环境将“不允许运行 Windows Messenger”设置配置为“已启用”。

注意：如果将此策略设置配置为“已启用”，则可禁止远程协助使用 Windows Messenger，禁止用户使用 MSN® Messenger。

Windows Update

管理员可以使用 Windows Update 设置来管理如何在 Windows XP 工作站中应用修补程序。更新可以从 Microsoft Windows Update 网站下载。或者，您可以建立一个 Intranet 网站，以类似方式分发修补程序，并进行其他管理控制。Windows Update 管理模板 (WUAU.adm) 是与 Windows XP Service Pack 1 (SP1) 一起引入的。

Windows Server 更新服务 (WSUS) 是一个基础结构服务，建立在 Microsoft Windows Update 和软件更新服务 (SUS) 技术的成功使用之上。WSUS 管理和分发用于解决 Microsoft Windows 操作系统已知安全漏洞和其他稳定性问题的 Windows 重要修补程序。

WSUS 可通过动态通知系统由 Intranet 服务器获取 Windows 客户端计算机的重要更新，从而消除了手动更新步骤。客户端计算机不必访问 Internet 即可使用此服务。此技术还提供了一种简单的自动方式，来将更新分发到您的 Windows 工作站和服务器。

Windows Server 更新服务还提供了以下功能：

由管理员控制 Intranet 中的内容同步。此同步服务是一个用来从 Windows Update 检索最新关键更新的服务器端组件。将新更新添加到 Windows Update 中时，运行 WSUS 的服务器可根据管理员定义的计划自动下载和存储它们。
Intranet 宿主的 Windows Update 服务器。这种易于使用的服务器充当客户端计算机的虚拟 Windows Update 服务器。它包含同步服务和用于管理更新的管理工具。它为那些通过 HTTP 协议与之相连的客户端计算机对已批准更新的请求提供服务。此服务器还可以宿主从同步服务下载的关键更新，并让客户端计算机访问这些更新。
管理员控制更新程序。管理员可以在部署组织 Intranet 之前测试和批准来自公用 Windows Update 网站中的更新。部署将按管理员创建的计划进行。如果多台服务器都在运行 WSUS，管理员可控制哪些计算机能访问运行该服务的特定服务器。管理员可使用 Active Directory® 目录服务环境中的组策略，或通过注册表项来启用此级别的控制。
计算机（工作站或服务器）上的自动更新。自动更新是一项 Windows 功能，您可以将其设置为自动检查在 Windows Update 上发布的更新。WSUS 使用此 Windows 功能将管理员批准的更新发布到 Intranet 上。

注意：如果您选择通过其他方法（如 Microsoft Systems Management Server）分发修补程序，本指南建议禁用“配置自动更新”设置。

有许多 Windows Update 设置。Windows Update 至少需要三个设置才能工作：“配置自动更新”、“计划的自动更新安装后不自动重启动”和“重新计划自动更新计划的安装”。第四个设置是可选的，具体取决于组织需求：指定 Intranet Microsoft 更新服务位置。

您可以在组策略对象编辑器的下列位置中配置下列规定的计算机设置：

计算机配置\管理模板\Windows 组件\Windows Update

本节中论述的设置并非分别针对具体的安全风险，但与管理员首选项的关系更大。但是，配置 Windows Update 是环境安全所必需的，因为它可确保环境中的客户端计算机在安全修补程序有效时立即从 Microsoft 收到。

注意：Windows Update 依赖于几种服务，其中包括远程注册表服务和后台智能传输服务。在第 3 章“Windows XP 客户端安全设置”中，这些服务在 SSLF 环境中被禁用。因此，如果禁用这些服务，则 Windows Update 将不起作用，而且仅在 SSLF 环境中才有可能忽略以下四个设置建议。

下表汇总了推荐的 Windows Update 设置。表后的小节提供了有关每个设置的附加信息。

表 4.17 推荐的 Windows Update 设置

设置	EC 桌面计算机	EC 便携式计算机	SSLF 桌面计算机	SSLF 便携式计算机
不要在“关闭 Windows”对话框显示“安装更新并关机”	已禁用	已禁用	已禁用	已禁用
不要调整“关闭 Windows”对话框里的“安装更新并关机”的默认选项	已禁用	已禁用	已禁用	已禁用
配置自动更新	已启用	已启用	已启用	已启用
计划的自动更新安装后不自动重启动	已禁用	已禁用	已禁用	已禁用
重新计划自动更新计划的安装	已启用	已启用	已启用	已启用
指定 Intranet Microsoft 更新服务位置	已启用	已启用	已启用	已启用

不要在“关闭 Windows”对话框显示“安装更新并关机”

此策略设置使您能够管理“关闭 Windows”对话框中是否显示“安装更新并关机”选项。如果禁用此策略设置，则当用户在“开始”菜单中选择“关机”选项或按下 Ctrl+Alt+Delete 之后单击“关机”时，倘若更新可用，“关闭 Windows”对话框中将显示“安装更新并关机”。

由于更新对所有计算机的总体安全很重要，对于本章中论述的两种环境，“不要在‘关闭 Windows’对话框显示‘安装更新并关机’”设置被配置为“已禁用”。此策略设置与以下“不要调整‘关闭 Windows’对话框里的‘安装更新并关机’的默认选项”设置配合使用。

不要调整“关闭 Windows”对话框里的“安装更新并关机”的默认选项

此策略设置使您能够管理是否允许“安装更新并关机”选项成为“关闭 Windows”对话框中的默认选择。如果禁用此策略设置，则当用户在“开始”菜单中选择“关机”选项时，倘若更新可供安装，“安装更新并关机”选项将成为“关闭 Windows”中的默认选项。

由于更新对所有计算机的总体安全很重要，对于本章中论述的两种环境，“不要调整‘关闭 Windows’对话框里的‘安装更新并关机’的默认选项”设置被配置为“已禁用”。

注意：如果“计算机配置\管理模板\Windows 组件\Windows Update\不要在‘关闭 Windows’对话框显示‘安装更新并关机’”设置配置为“已启用”，则此策略设置没有任何作用。

配置自动更新

此策略设置指定您环境中的计算机是否将从 Windows Update 或 WSUS 接收安全更新。如果将此策略设置配置为“已启用”，则操作系统可以识别网络连接何时可用，然后使用网络连接在 Windows Update 网站或您指定的 Intranet 站点上搜索适用的更新。

将此策略设置配置为“已启用”之后，请选择“配置自动更新属性”对话框中的以下三个选项之一，以指定服务的工作方式：

在下载任何更新前通知，并在安装它们之前通知。
自动下载更新，在更新可以安装时通知您。（默认设置）
自动下载更新并按下面指定的计划安装。

如果禁用此策略设置，则需要从 Windows Update 网站下载并手动安装任何可用更新，网址为 http://windowsupdate.microsoft.com。

对于本章中论述的两种环境，“配置自动更新”设置被配置为“已启用”。

计划的自动更新安装后不自动重启动

如果启用此策略设置，计算机将等待登录的用户重新启动它以完成计划的安装；否则，计算机将自动重新启动。启用时，此策略设置还可防止“自动更新”在计划安装过程中自动重新启动计算机。如果用户在“自动更新”要求必须重新启动计算机来完成更新安装的情况下登录计算机，系统将提醒用户，并提供是否延迟重新启动的选项。重新启动之前，“自动更新”将不检测将来的更新。

如果“计划的自动更新安装后不自动重启动”设置被配置为“已禁用”或“未配置”，则“自动更新”将提醒用户计算机将在 5 分钟内自动重新启动以完成安装。如果自动更新很重要，您可以将“计划的自动更新安装后不自动重启动”设置配置为“已启用”。如果您确实启用了此策略设置，请将您的客户端计算机计划为正常工作时间之后重新启动，以确保完成安装。

对于本章中论述的两种环境，“计划的自动更新安装后不自动重启动”设置被配置为“已禁用”。

注意：此策略设置仅在将“自动更新”配置为执行计划的更新安装时才起作用。如果将“配置自动更新”设置配置为“禁用”，则它不起作用。通常需要重新启动，才能完成更新安装。

重新计划自动更新计划的安装

此策略设置确定从系统启动到开始执行预先计划的自动更新安装程序之间的时间量。如果将此策略设置配置为“已启用”，则以前计划的安装将在下次启动计算机时等待指定的分钟数后再执行安装。如果将此策略设置配置为“已禁用”或“未配置”，则下一个定期计划的安装时间内执行以前计划的安装。

对于本章中论述的两种环境，“重新计划自动更新计划的安装”设置被配置为“已启用”。启用此策略设置之后，您可以将默认等待时间更改为适合于您环境的时间。

注意：此策略设置仅在将“自动更新”配置为执行计划的更新安装时才起作用。如果禁用“配置自动更新”设置，则“重新计划自动更新计划的安装”设置不起作用。启用后两个设置可确保在每次重新启动计算机时将按计划安装以前未完成的安装。

指定 Intranet Microsoft 更新服务位置

此策略设置指定一台 Intranet 服务器来驻留来自 Microsoft Update 网站的更新。此后，您可以使用此更新服务自动更新网络上的计算机。此策略设置允许您指定网络上的一台 WSUS 服务器，使其充当内部更新服务。“自动更新”客户端将与该 WSUS 服务器联系，以便在此服务中搜索适用于网络上计算机的更新。

对于本章中论述的两种环境，“指定 Intranet Microsoft 更新服务位置”设置被配置为“已启用”。

注意：如果禁用“配置自动更新”设置，则启用“指定 Intranet Microsoft 更新服务位置”设置不起作用。

系统

您可以在组策略对象编辑器的下列位置中配置下列规定的计算机设置：

计算机配置\管理模板\系统

下图说明本节中的设置更改将影响的组策略部分：

图 4.3 计算机配置“系统”的组策略结构

下表汇总了推荐的系统设置。表后的小节提供了有关每个设置的附加信息。

表 4.18 推荐的系统设置

设置	EC 桌面计算机	EC 便携式计算机	SSLF 桌面计算机	SSLF 便携式计算机
关闭自动播放	未配置	未配置	已启用 – 所有驱动器	已启用 – 所有驱动器
关闭 Windows Update 设备驱动程序搜索提示	已禁用	已禁用	已启用	已启用

关闭自动播放

将媒体插入驱动器之后，“自动播放”便开始读取驱动器中的内容，从而导致程序或音频媒体的设置文件立即启动。攻击者可以借此功能启动程序，以破坏计算机或计算机上的数据。您可以启用“关闭自动播放”设置以禁用自动播放功能。默认情况下，在某些可移动驱动器类型（如软盘和网络驱动器）上禁用“自动播放”。

仅对于 SSLF 环境，“关闭自动播放”设置被配置为“已启用 – 所有驱动器”。但是，对于 EC 环境，此策略设置被配置为“未配置”。

注意：您不能使用此策略设置在默认禁用此设置的计算机驱动器（如软盘和网络驱动器）上启用“自动播放”。

关闭 Windows Update 设备驱动程序搜索提示

此策略设置控制是否提示管理员通过 Internet 在 Windows Update 中搜索设备驱动程序。如果此策略设置为“已启用”，则不提示管理员搜索 Windows Update。如果此策略设置和“关闭 Windows Update 设备驱动程序搜索”同时被配置为“已禁用”或“未配置”，则将提示管理员即将转到 Windows Update 搜索设备驱动程序。

由于从 Internet 下载任何设备驱动程序存在某些风险，对于 SSLF 环境，“关闭 Windows Update 设备驱动程序搜索提示”设置被配置为“已启用”，对于 EC 环境则配置为“已禁用”。此建议的原因是：正确的企业资源管理通常会缓解可以利用驱动程序下载的攻击类型。

注意：此策略设置仅当“关闭 Windows Update 设备驱动程序搜索”设置（位于“管理模板/系统/Internet 通信管理/Internet 通信设置”中）被配置为“已禁用”或“未配置”时才有效。

设置	EC 桌面计算机	EC 便携式计算机	SSLF 桌面计算机	SSLF 便携式计算机
不处理旧的运行列表	未配置	未配置	已启用	已启用
不处理只运行一次列表	未配置	未配置	已启用	已启用

启用“不处理旧的运行列表”设置可阻止恶意用户在每次 Windows XP 启动时运行可能破坏计算机上数据或导致其他危害的程序。启用此策略设置时，某些系统程序（如防病毒软件以及软件分发和监视软件）无法运行。Microsoft 建议您确定是否为组织使用此策略设置之前评估对环境的威胁级别。

对于 EC 环境，“不处理旧的运行列表”设置被配置为“未配置”，对于 SSLF 环境则配置为“已启用”。

不处理只运行一次列表

此策略设置将导致只运行一次列表（Windows XP 启动时自动运行的程序列表）被忽略。此策略设置不同于“不处理旧的运行列表”设置，在后一种设置中，该列表中的程序只运行一次，即在下一次客户端计算机重新启动时运行。有时，在客户端计算机重新启动后，设置和安装程序会添加到此列表中以完成安装。如果启用此策略设置，攻击者将无法使用只运行一次列表来启动恶意应用程序（这是过去常见的一种攻击方法）。恶意用户可以利用只运行一次列表来安装可能破坏 Windows XP 客户端计算机安全性的程序。

注意：自定义的只运行一次列表存储在注册表中的下列位置：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce。

“不处理只运行一次列表”设置可使环境中的用户受到最低的功能损失，尤其在通过组策略应用此策略设置之前，且已为客户端计算机配置了组织的全部标准软件的情况下。

对于 EC 环境，“不处理只运行一次列表”设置被配置为“未配置”，对于 SSLF 环境则配置为“已启用”。

组策略

您可以在组策略对象编辑器的下列位置中配置下列规定的计算机设置：

计算机配置\管理模板\系统\组策略

表 4.20 推荐的组策略设置

设置	EC 桌面计算机	EC 便携式计算机	SSLF 桌面计算机	SSLF 便携式计算机
注册表策略处理	已启用	已启用	已启用	已启用

注册表策略处理

此策略设置确定何时更新注册表策略。它影响“管理模板”文件夹中的所有策略，以及在注册表中存储值的其他任何策略。如果启用此策略设置，下列选项可用：

周期性后台处理期间不要应用。
即使尚未更改组策略对象也进行处理。

通过“管理模板”配置的某些设置将记录在注册表中用户可访问的区域。如果启用此策略设置，将覆盖用户对这些设置所做的更改。

对于本章中论述的两种环境，“注册表策略处理”设置被配置为“已启用”。

远程协助

您可以在组策略对象编辑器的下列位置中配置下列规定的计算机设置：

计算机配置\管理模板\系统\远程协助

下表汇总了推荐的远程协助设置。表后的小节提供了有关每个设置的附加信息。

表 4.21 推荐的远程协助设置

设置	EC 桌面计算机	EC 便携式计算机	SSLF 桌面计算机	SSLF 便携式计算机
提供远程协助	未配置	未配置	已禁用	已禁用
请求的远程协助	未配置	未配置	已禁用	已禁用

提供远程协助

此策略设置确定支持人员或 IT“专家”管理员是否可以在用户未首先通过电子邮件或 Instant Messenger 等渠道明确请求协助时，对您环境中的计算机提供远程协助。

注意：专家无法在未通知用户的情况下连接到计算机，也不能在未经用户许可的情况下控制计算机。当专家尝试连接时，用户仍然可以选择拒绝连接或仅授予专家查看用户特权。将“提供远程协助”设置配置为“已启用”之后，用户必须明确单击“是”按钮才能允许专家远程控制工作站。

如果启用此策略设置，下列选项可用：

只允许帮助者查看此计算机
允许帮助者远程控制此计算机

配置此策略设置时，还可以指定提供远程协助的用户或用户组（称为“帮助者”）列表。

配置帮助者列表

在“提供远程协助”设置配置窗口中，单击“显示”。将打开一个新窗口，您可以在其中输入帮助者名称。
使用下列格式之一将每个用户或组添加到“帮助者”列表中：
- <域名>\<用户名>
- <域名>\<组名>

如果禁用或未配置此策略设置，用户或组将无法为您环境中的计算机用户主动提供远程协助。

对于 EC 环境，“提供远程协助”设置被配置为“未配置”。然而，对于 SSLF 环境，此策略设置被配置为“已禁用”，以防止通过网络访问 Windows XP 客户端计算机。

请求的远程协助

此策略设置确定是否可以从您环境中的 Windows XP 计算机请求远程协助。您可以启用此策略设置，以允许用户请求 IT “专家”管理员对其进行远程协助。

注意：专家无法在未通知用户的情况下连接到用户的计算机，也不能在未经用户许可的情况下控制计算机。当专家尝试连接时，用户仍然可以选择拒绝连接或仅授予专家查看用户特权。用户必须明确地单击“是”按钮才能允许专家远程控制工作站。

如果启用“请求的远程协助”设置，下列选项可用：

允许帮助者远程控制此计算机
只允许帮助者查看此计算机

此外，可以使用下列选项来配置用户帮助请求保持有效的时间：

最长票证时间（值）：
最长票证时间（单位）：小时、分钟或天

当票证（帮助请求）到期时，用户必须发送另一个请求，然后专家才能连接到计算机。如果禁用“请求的远程协助”设置，用户将无法发送帮助请求，因此专家也无法连接到其计算机。

未配置“请求的远程协助”设置时，用户可以通过控制面板配置主动请求的远程协助。默认情况下，控制面板启用下列设置：“请求的远程协助”、“好友支持”和“远程控制”。“最长票证时间”的值设置为“30 天”。如果禁用此策略设置，则没有人能够通过网络访问 Windows XP 客户端计算机。

对于 EC 环境，“请求的远程协助”设置被配置为“未配置”，对于 SSLF 环境则配置为“已禁用”。

错误报告

这些设置用于控制如何报告操作系统和应用程序错误。默认情况下，发生错误时将通过弹出对话框通知用户，询问用户是否要将错误报告发送到 Microsoft。Microsoft 制定了严格的策略以保护在这些报告中收到的数据。但是，数据以明文的形式传送，从而引发了潜在的安全风险。

Microsoft 提供了企业错误报告工具，使组织可以在本地收集报告，而不必通过 Internet 将其发送到 Microsoft。Microsoft 建议在 SSLF 环境中使用企业错误报告工具，以防止在 Internet 上暴露敏感信息。有关此工具的其他信息包括在本章末尾的“更多信息”部分。

您可以在组策略对象编辑器的下列位置中配置下列规定的计算机设置：

计算机配置\管理模板\系统\错误报告功能

下表汇总了推荐的错误报告设置。表后的小节提供了有关每个设置的附加信息。

表 4.22 推荐的错误报告设置

设置	EC 桌面计算机	EC 便携式计算机	SSLF 桌面计算机	SSLF 便携式计算机
显示错误通知	已启用	已启用	已启用	已启用
配置错误报告	已启用	已启用	已启用	已启用

显示错误通知

此策略设置控制是否将错误消息显示在用户的计算机屏幕上。如果启用此策略设置，则将在出错时发送错误消息通知，并使用户可以访问有关错误的详细信息。如果禁用此策略设置，则将不会为用户显示错误通知。

出错时，重要的一点是使用户意识到问题的所在。如果禁用“显示错误通知”设置，则用户将无法意识到问题所在。因此，对于本章中论述的两种环境，“显示错误通知”设置被配置为“已启用”。

配置错误报告

此策略设置控制是否报告错误。启用此策略设置时，用户可以选择出错时是否报告错误。错误既可以通过 Internet 报告给 Microsoft，也可以报告给本地文件共享。如果启用此策略设置，下列选项可用：

不显示到任何 Microsoft 提供的“更多信息”网站的链接
不收集额外文件
不收集额外的机器数据
对应用程序错误强制使用队列模式
公司上载文件路径
替换“Microsoft”英文字的实例

如果禁用“配置错误报告”设置，则用户无法报告错误。如果启用“显示错误通知”设置，用户将收到错误通知，但无法报告错误。“配置错误报告”设置可以自定义组织的错误报告策略，并收集报告以便在本地进行分析。

对于本章中论述的两种环境，“配置错误报告”设置被配置为“已启用”。另外，对于 SSLF 环境则选择以下选项：

不收集额外文件
不收集额外的机器数据
对应用程序错误强制使用队列模式

您还可以选择“公司上载文件路径”选项，并包含安装企业错误报告工具的服务器的路径。您应评估组织需要，确定使用哪一个选项。

远程过程调用

您可以在组策略对象编辑器的下列位置中配置下列规定的计算机设置：

管理模板\系统\远程过程调用

下表汇总了推荐的远程过程调用设置。表后的小节提供了有关每个设置的附加信息。

表 4.23 推荐的远程过程调用设置

设置	EC 桌面计算机	EC 便携式计算机	SSLF 桌面计算机	SSLF 便携式计算机
用于未验证的 RPC 客户端的限制	已启用 – 已验证	已启用 – 已验证	已启用 – 已验证	已启用 – 已验证
RPC 终点映射程序客户端验证	已禁用	已禁用	已启用	已启用

用于未验证的 RPC 客户端的限制

此策略设置配置 RPC 服务器上的 RPC 运行时，以限制未经验证的 RPC 客户端连接到 RPC 服务器。如果客户端使用命名管道与服务器通信或使用 RPC 安全性，该客户端将被看作经过验证的客户端。根据为此策略选择的值，特别要求可由未验证的客户端访问的 RPC 接口可能不受此限制。如果启用此策略设置，下列值可用：

无。允许所有 RPC 客户端连接到应用该策略的计算机上运行的 RPC 服务器。
已验证。仅允许经过验证的 RPC 客户端连接到应用该策略的计算机上运行的 RPC 服务器。已要求免于此限制的接口将不受此限制。
已验证并且无例外。仅允许经过验证的 RPC 客户端连接到应用该策略的计算机上运行的 RPC 服务器。不允许例外。

未验证的 RPC 通信可能造成安全漏洞，因此对于本章中论述的两种环境，“用于未验证的 RPC 客户端的限制”设置被配置为“已启用”，“要应用的 RPC 运行时未验证的客户端限制”值被配置为“已验证”。

注意：如果应用此配置，则不验证非法入站连接请求的 RPC 应用程序可能无法正常工作。确保在整个环境中部署此策略设置之前测试应用程序。虽然此策略设置的“已验证”值不完全安全，但它对于在环境中提供应用程序兼容性非常有用。

RPC 终点映射程序客户端验证

如果启用此策略设置，则在建立 RPC 通信之前，与此计算机通信的客户端计算机将被强制提供身份验证。默认情况下，请求服务器的终结点时，RPC 客户端不使用身份验证与 RPC 服务器终结点映射程序服务通信。但是，对于 SSLF 环境，此默认值会更改为在允许 RPC 通信之前要求客户端计算机进行身份验证。

Internet 通信管理\Internet 通信设置

Internet 通信设置组中有一些配置设置。本指南建议限制这些设置中的许多设置，主要有助于提高计算机系统上的数据机密性。如果不限制这些设置，信息可以被攻击者截取和使用。虽然此类攻击当前实际很少见，正确配置这些设置有助于防止环境遭受将来的攻击。

您可以在组策略对象编辑器的下列位置中配置下列规定的计算机设置：

管理模板\系统\Internet 通信管理\Internet 通信设置

下表汇总了推荐的 Internet 通信设置。表后的小节提供了有关每个设置的附加信息。

表 4.24 推荐的 Internet 通信设置

设置	EC 桌面计算机	EC 便携式计算机	SSLF 桌面计算机	SSLF 便携式计算机
关闭文件和文件夹的“发布到 Web”任务	已启用	已启用	已启用	已启用
关闭“Web 发布”和“联机订购向导”的 Internet 下载	已启用	已启用	已启用	已启用
关闭 Windows Messenger 客户体验改善活动	已启用	已启用	已启用	已启用
关闭搜索助理内容文件更新	已启用	已启用	已启用	已启用
关闭通过 HTTP 打印	已启用	已启用	已启用	已启用
关闭通过 HTTP 下载打印驱动程序	已启用	已启用	已启用	已启用
关闭 Windows Update 设备驱动程序搜索	已禁用	已禁用	已启用	已启用

关闭文件和文件夹的“发布到 Web”任务

此策略设置指定 Windows 文件夹中的“文件和文件夹任务”是否包含“将这个文件发布到 Web”、“将这个文件夹发布到 Web”以及“将选择的项目发布到 Web”。Web 发布向导用于下载提供商列表并允许用户将内容发布到 Web。

如果将“关闭文件和文件夹的‘发布到 Web’任务”设置配置为“已启用”，则将从 Windows 文件夹的“文件和文件夹任务”中删除这些选项。默认情况下，用于发布到 Web 的选项可用。由于此功能可用于向未验证的 Web 客户端计算机暴露安全的内容，对于 EC 和 SSLF 环境，此策略配置被配置为“已启用”。

关闭“Web 发布”和“联机订购向导”的 Internet 下载

此策略设置控制 Windows 是否下载用于 Web 发布和联机订购向导的提供商列表。如果启用此策略设置，Windows 将无法下载提供商，而仅显示本地注册表中缓存的服务提供商。

由于为 EC 和 SSLF 环境启用了“关闭文件和文件夹的‘发布到 Web’任务”设置（参阅前一设置），因此不需要此选项。但是，“关闭‘Web 发布’和‘联机订购向导’的 Internet 下载”设置被配置为“已启用”，以尽量减小客户端计算机的攻击面，并确保无法以其他方式利用此功能。

关闭 Windows Messenger 客户体验改善活动

此策略设置指定 Windows Messenger 是否收集有关如何使用 Windows Messenger 软件和服务的匿名信息。您可以启用此策略设置，从而确保 Windows Messenger 不收集使用信息，以及启用收集使用信息的用户设置不会显示。

在大型企业环境中，可能不需要从托管的客户端计算机收集信息。对于本章中论述的两种环境，“关闭 Windows Messenger 客户体验改善活动”设置被配置为“已启用”，以防止收集信息。

关闭搜索助理内容文件更新

此策略设置指定搜索助理是否应该在本地和 Internet 搜索过程中自动下载内容。如果将此策略设置配置为“已启用”，则可防止搜索助理在搜索期间下载内容。

对于 EC 和 SSLF 环境，“关闭搜索助理内容文件更新”设置被配置为“已启用”，以帮助控制来自每台托管的客户端计算机的不必要通信。

注意：Internet 搜索仍会将搜索文本和有关搜索的信息发送到 Microsoft 和选择的搜索提供程序。如果选择传统搜索，搜索助理功能将不可用。您可以通过依次单击“开始”、“搜索”、“改变首选项”，然后单击“改变 Internet 搜索行为”来选择传统搜索。

关闭通过 HTTP 打印

此策略设置允许您禁用客户端计算机通过 HTTP 打印的能力，这一能力允许计算机打印到 Intranet 和 Internet 上的打印机。如果启用此策略设置，客户端计算机将无法通过 HTTP 打印到 Internet 打印机。

借助此功能通过 HTTP 传输的信息不受保护，可能被恶意用户截取。因此，它不常用于企业环境。对于 EC 和 SSLF 环境，“关闭通过 HTTP 打印”设置被配置为“已启用”，以帮助防止不安全的打印作业带来潜在安全违反。

注意：此策略设置仅影响 Internet 打印的客户端。无论如何配置，计算机可充当 Internet 打印服务器并使其成为通过 HTTP 可用的共享打印机。

关闭通过 HTTP 下载打印驱动程序

此策略设置控制计算机是否可以通过 HTTP 下载打印驱动程序包。要设置 HTTP 打印，可能需要通过 HTTP 下载标准操作系统安装中不可用的打印机驱动程序。

“关闭通过 HTTP 下载打印驱动程序”设置被配置为“已启用”，可防止通过 HTTP 下载打印驱动程序。

注意：此策略设置不阻止客户端计算机通过 HTTP 打印到 Intranet 或 Internet 上的打印机。它仅禁止下载本地尚未安装的驱动程序。

关闭 Windows Update 设备驱动程序搜索

此策略设置指定设备没有本地驱动程序时，Windows 是否搜索 Windows Update 以查找设备驱动程序。

由于从 Internet 下载任何设备驱动程序存在某些风险，对于 SSLF 环境，“关闭 Windows Update 设备驱动程序搜索”设置被配置为“已启用”，对于 EC 环境则配置为“已禁用”。此配置的原因是：正确的企业资源和配置管理通常会缓解可以利用驱动程序下载的攻击类型。

注意：请参阅“管理模板/系统”中的“关闭 Windows Update 设备驱动程序搜索提示”。此设置控制如果在本地没有找到驱动程序，则在 Windows Update 上搜索设备驱动程序之前是否提示管理员。

网络

组策略的“网络”容器中没有特定的与安全有关的配置。但是，“网络连接\Windows 防火墙”容器中有许多非常重要的设置，以下小节将对该容器进行说明。

下图说明本节中的设置更改将影响的组策略部分：

图 4.4 计算机配置“网络连接”的组策略结构

网络连接\Windows 防火墙

Windows 防火墙设置在下列两个配置文件中进行配置：域配置文件和标准配置文件。无论是否检测到域环境，都使用域配置文件；无论域环境是否可用，都使用标准配置文件。

当以下两个表之一中的 Windows 防火墙设置为“推荐”时，要使用的特定值对于不同的组织各不相同。例如，每个组织将有一个唯一的应用程序列表，该应用程序需要为 Windows 防火墙定义的例外。因此，在本指南中定义可广泛使用的列表并不可行。

当必须确定哪些应用程序或端口可能需要例外时，启用 Windows 防火墙日志、Windows 防火墙审核和网络跟踪会很有帮助。有关详细信息，请参阅文章“Configuring a Computer for Windows Firewall Troubleshooting”，网址为 www.microsoft.com/technet/prodtechnol/windowsserver2003/
library/Operations/bfdeda55-46fc-4b53-b4cd-c71838ef4b41.mspx。

有关 Windows XP 如何使用网络位置感知 (NLA) 确定所连接的网络种类的详细信息，请参阅 Microsoft 网站上的文章“网络相关组策略设置的网络确定行为”，网址为 www.microsoft.com/technet/community/columns/cableguy/cg0504.mspx。

通常，对域配置文件配置的限制比标准配置文件的限制较少，因为域环境通常提供一个附加的保护层。

两个配置文件中的策略设置名称相同。下列两个表汇总了不同配置文件的策略设置，表格后面的小节提供了更详细的说明。

网络连接\Windows 防火墙\域配置文件

本节中的设置配置 Windows 防火墙域配置文件。

您可以在组策略对象编辑器的下列位置中配置下列规定的计算机设置：

管理模板\网络\网络连接\Windows 防火墙\域配置文件

表 4.25 推荐的 Windows 防火墙域配置文件设置

设置	EC 桌面计算机	EC 便携式计算机	SSLF 桌面计算机	SSLF 便携式计算机
保护所有网络连接	已启用	已启用	已启用	已启用
不允许例外	不推荐	不推荐	不推荐	不推荐
定义程序例外	推荐	推荐	推荐	推荐
允许本地程序例外	不推荐	不推荐	已禁用	已禁用
允许远程管理例外	推荐	推荐	已禁用	已禁用
允许文件和打印机共享例外	已禁用	已禁用	已禁用	已禁用
允许 ICMP 例外	不推荐	不推荐	不推荐	不推荐
允许远程桌面例外	推荐	推荐	已禁用	已禁用
允许 UPnP 框架例外	不推荐	不推荐	不推荐	不推荐
阻止通知	不推荐	不推荐	不推荐	不推荐
阻止对多播或广播请求的单播响应	已启用	已启用	已启用	已启用
定义端口例外	不推荐	不推荐	不推荐	不推荐
允许本地端口例外	已禁用	已禁用	已禁用	已禁用

注意：当此表中的 Windows 防火墙设置为“推荐”时，要使用的特定值对于不同的组织各不相同。例如，每个组织将有一个唯一的应用程序列表，该应用程序需要为 Windows 防火墙定义的例外。因此，在本指南中定义可广泛使用的列表并不可行。

网络连接\Windows 防火墙\标准配置文件

本节中的设置配置 Windows 防火墙标准配置文件。此配置文件通常比域配置文件（假定域环境提供一些基本级别的安全）的限制性更强。当计算机位于不受信任的网络（例如，酒店网络或公用无线访问点）上时，应该使用标准配置文件。这样的环境会带来未知威胁，需要其他安全防范措施。

您可以在组策略对象编辑器的下列位置中配置下列规定的计算机设置：

管理模板\网络\网络连接\Windows 防火墙\标准配置文件

表 4.26 推荐的 Windows 防火墙标准配置文件设置

设置	EC 桌面计算机	EC 便携式计算机	SSLF 桌面计算机	SSLF 便携式计算机
保护所有网络连接	已启用	已启用	已启用	已启用
不允许例外	推荐	推荐	推荐	推荐
定义程序例外	推荐	推荐	推荐	推荐
允许本地程序例外	不推荐	不推荐	已禁用	已禁用
允许远程管理例外	已禁用	已禁用	已禁用	已禁用
允许文件和打印机共享例外	已禁用	已禁用	已禁用	已禁用
允许 ICMP 例外	已禁用	已禁用	已禁用	已禁用
允许远程桌面例外	已启用	已启用	已禁用	已禁用
允许 UPnP 框架例外	已禁用	已禁用	已禁用	已禁用
阻止通知	不推荐	不推荐	不推荐	不推荐
阻止对多播或广播请求的单播响应	已启用	已启用	已启用	已启用
定义端口例外	不推荐	不推荐	不推荐	不推荐
允许本地端口例外	已禁用	已禁用	已禁用	已禁用

Windows 防火墙：保护所有网络连接

此策略设置启用 Windows 防火墙，它将代替运行 Windows XP SP2 的所有计算机上的 Internet 连接防火墙。本指南建议对于本指南中论述的所有环境中的计算机将此策略设置配置为“已启用”，以保护所有网络连接。

如果“Windows 防火墙：保护所有网络连接”设置被配置为“已禁用”，则将关闭 Windows 防火墙，并忽略 Windows 防火墙的所有其他设置。

注意：如果启用此策略设置，则将运行 Windows 防火墙，并忽略“计算机配置\管理模板\网络\网络连接\禁止使用 DNS 域网络上的 Internet 连接防火墙”设置。

Windows 防火墙：不允许例外

此策略设置导致 Windows 防火墙阻止所有未经请求的传入消息。它将覆盖所有其他允许这样消息的 Windows 防火墙设置。如果在控制面板的 Windows 防火墙组件中启用此策略设置，“不允许例外”复选框为选中状态并且管理员无法清除它。

许多环境包含作为正常操作的一部分必须被允许接收未经请求的入站通信的应用程序和服务。此类环境可能需要将“Windows 防火墙：不允许例外”设置配置为“已禁用”，以允许这些应用程序和服务正常运行。但是，配置此策略设置之前，应对环境进行测试以准确确定需要允许哪些通信。

注意：此策略设置可针对外部攻击者提供很强的防御能力，在需要全面的保护来防范外部攻击（例如，新的网络蠕虫发作）的情况下应该被设置为“已启用”。如果将此策略设置设置为“已禁用”，Windows 防火墙能够应用允许未经请求的传入消息的其他策略设置。

Windows 防火墙：定义程序例外

某些应用程序可能需要打开并使用 Windows 防火墙通常不允许的网络端口。“Windows 防火墙：定义程序例外”设置允许您查看并更改组策略定义的程序例外列表。

如果此策略设置为“已启用”，您可以查看并更改程序例外列表。如果将程序添加到此列表并将其状态设置为“已启用”，则该程序可以在它请求 Windows 防火墙打开的任何端口上接收未经请求的传入消息，即使其他设置阻止该端口也是如此。如果将此策略设置配置为“已禁用”，则会删除组策略定义的程序例外列表。

注意：如果键入无效的定义字符串，Windows 防火墙会将其添加到列表，但不检查是否有错误。由于不检查输入，您可以添加尚未安装的程序。您也可以为同一程序意外地创建多个范围或状态值相冲突的例外。

Windows 防火墙：允许本地程序例外

此策略设置控制管理员是否可以使用控制面板中的 Windows 防火墙组件定义本地程序例外列表。如果禁用此策略设置，管理员不能定义本地程序例外列表；另外，此配置确保程序例外仅来自组策略。如果启用此策略设置，则允许本地管理员使用控制面板定义本地程序例外。

对于企业客户端计算机，某些情况下可能需要调整本地程序例外。这些情况可能包括创建组织的防火墙策略时不被分析的应用程序或需要非标准端口配置的新应用程序。如果选择为此类情况启用“Windows 防火墙：允许本地程序例外”，请记住，受影响的计算机的攻击面将有所增加。

Windows 防火墙：允许远程管理例外

许多组织在其日常操作中利用远程计算机管理。但是，某些攻击会利用远程管理程序通常使用的端口；Windows 防火墙可阻止这些端口。

要为远程管理提供灵活性，可使用“Windows 防火墙：允许远程管理例外”。如果启用此策略设置，计算机可以接收与 TCP 端口 135 和 445 上的远程管理关联的未经请求的传入消息。此策略设置还允许 Svchost.exe 和 Lsass.exe 接收未经请求的传入消息，并允许宿主的服务打开其他动态分配的端口，范围通常为 1024 至 1034，但是可能为 1024 至 65535 之间的任何端口。如果启用此策略设置，则需要指定允许这些传入消息的 IP 地址或子网。

如果将“Windows 防火墙：允许远程管理例外”设置配置为“已禁用”，Windows 防火墙将阻止所述的任何例外。许多组织可能无法承受将此策略设置配置为“已禁用”所带来的影响，因为许多远程管理工具和漏洞扫描工具将失败。因此，Microsoft 建议仅最安全敏感的组织启用此策略设置。

对于域配置文件，Microsoft 建议对于 EC 环境（如果可能）中的计算机将“Windows 防火墙：允许远程管理例外”设置配置为“已启用”，对于 SSLF 环境中的计算机则配置为“已禁用”。您的环境中的计算机应当接受来自尽可能少的计算机的远程管理请求。要最大化 Windows 防火墙提供的保护，请确保仅指定必要的 IP 地址和用于远程管理的计算机子网。

Microsoft 建议对于“标准配置文件”中的所有计算机将“Windows 防火墙：允许远程管理例外”设置配置为“已禁用”，以避免专门利用 TCP 端口 135 和 445 的已知攻击。

注意：如果任何策略设置打开 TCP 端口 445，Windows 防火墙将允许入站 ICMP 回显请求消息（如 Ping 实用程序发送的那些消息），即使“Windows 防火墙：允许 ICMP 例外”策略设置将阻止它们。可打开 TCP 端口 445 的策略设置包括“Windows 防火墙：允许文件和打印机共享例外”、“Windows 防火墙：允许远程管理例外”和“Windows 防火墙：定义端口例外”。

Windows 防火墙：允许文件和打印机共享例外

此策略设置创建一个允许文件和打印机共享的例外。它将 Windows 防火墙配置为打开 UDP 端口 137、138 和 TCP 端口 139 和 445。如果启用此策略设置，Windows 防火墙将打开这些端口，这样计算机就可以接收打印作业和访问共享文件的请求。您必须指定允许这些消息的 IP 地址或子网。

如果禁用“Windows 防火墙：允许文件和打印机共享例外”设置，Windows 防火墙将阻塞这些端口，这样计算机将无法共享文件和打印机。

由于您的环境中运行 Windows XP 的计算机通常不共享文件和打印机，因此对于本章中论述的两种环境，Microsoft 建议将“Windows 防火墙：允许文件和打印机共享例外”设置配置为“已禁用”。

Windows 防火墙：允许 ICMP 例外

此策略设置定义 Windows 防火墙允许的 Internet 控制消息协议 (ICMP) 消息类型的集合。实用程序可以使用 ICMP 消息来确定其他计算机的状态。例如，Ping 使用回显请求消息。

如果将“Windows 防火墙：允许 ICMP 例外”设置配置为“已启用”，您必须指定 Windows 防火墙允许计算机发送或接收的 ICMP 消息类型。当将此策略设置配置为“已禁用”时，Windows 防火墙将阻止所有未经请求的入站 ICMP 消息类型和列出的出站 ICMP 消息类型。因此，依赖 ICMP 的实用程序可能失败。

许多攻击者工具利用接受 ICMP 消息类型的计算机，并使用这些消息展开各种攻击。然而，一些应用程序需要某些 ICMP 消息才能正常工作。另外，ICMP 消息用于评估下载和处理组策略时的网络性能；如果 ICMP 消息被阻止，组策略可能无法应用于受影响的系统。因此，Microsoft 建议尽可能地将“Windows 防火墙：允许 ICMP 例外”设置配置为“已禁用”。如果您的环境需要某些 ICMP 消息通过 Windows 防火墙，请使用适当的消息类型配置此策略设置。

当计算机位于不受信任的网络上时，应将“Windows 防火墙：允许 ICMP 例外”设置配置为“已禁用”。

Windows 防火墙：允许远程桌面例外

许多组织在其正常的疑难解答过程或操作中使用远程桌面连接。然而，某些攻击者会利用远程桌面通常使用的端口。

要为远程管理提供灵活性，可使用“Windows 防火墙：允许远程桌面例外”设置。如果启用此策略设置，Windows 防火墙将为入站连接打开 TCP 端口 3389。您还必须指定允许这些入站消息的 IP 地址或子网。

如果禁用此策略设置，Windows 防火墙将阻止此端口，并阻止计算机接收远程桌面请求。如果管理员试图通过将此端口添加到本地端口例外列表打开该端口，Windows 防火墙不会打开该端口。

某些攻击可能利用打开的端口 3389，因此 Microsoft 建议对于 SSLF 环境将“Windows 防火墙：允许远程桌面例外”设置配置为“已禁用”。要维护远程桌面提供的增强管理功能，对于 EC 环境需要将此策略设置配置为“已启用”。您必须指定用于远程管理的计算机的 IP 地址和子网。您的环境中的计算机应该接受来自尽可能少的计算机的远程桌面请求。

Windows 防火墙：允许 UPnP 框架例外

此策略设置允许计算机接收由网络设备（如带内置防火墙的路由器）发送的未经请求的即插即用消息。要接收这些消息，Windows 防火墙将打开 TCP 端口 2869 和 UDP 端口 1900。

如果启用“Windows 防火墙：允许 UPnP 框架例外”设置，Windows 防火墙将打开这些端口，以便计算机可以接收即插即用消息。您必须指定允许这些入站消息的 IP 地址或子网。如果禁用此策略设置，Windows 防火墙将阻止这些端口，并阻止计算机接收即插即用消息。

有效地阻止 UPnP 网络通信可减少您的环境中计算机的攻击面。在受信任的网络上，Microsoft 建议将“Windows 防火墙：允许 UPnP 框架例外”设置配置为“已禁用”，除非您使用网络上的 UPnP 设备。在不受信任的网络上，此策略设置应该始终为“已禁用”。

Windows 防火墙：阻止通知

当程序请求 Windows 防火墙将程序添加到程序例外列表时，Windows 防火墙可以向用户显示通知。当程序试图打开一个端口而当前的 Windows 防火墙规则不允许这样做时，会发生这种情况。

“Windows 防火墙：阻止通知”设置确定是否向用户显示这些设置。如果将此策略设置配置为“已启用”，Windows 防火墙将阻止显示这些通知。如果将该设置配置为“已禁用”，Windows 防火墙将允许显示这些通知。

通常，在 EC 或 SSLF 环境中不允许用户为响应这些消息而添加应用程序和端口。在这种情况下，此消息将通知用户他们没有控制某些内容，您应该将“Windows 防火墙：阻止通知”设置配置为“已启用”。在对于某些用户允许例外的其他环境中，应该将此策略设置配置为“已禁用”。

Windows 防火墙：阻止对多播或广播请求的单播响应

此策略设置阻止计算机接收对其传出多播或广播消息的单播响应。如果启用此策略设置，并且计算机向其他计算机发送多播或广播消息，Windows 防火墙将阻止由其他计算机发送的单播响应。如果禁用此策略设置，并且此计算机向其他计算机发送多播或广播消息，Windows 防火墙将等待三秒以接收来自其他计算机的单播响应，然后阻止所有以后的响应。

通常，不需要接收对多播或广播消息的单播响应。这些响应可能表示拒绝服务 (DoS) 攻击或探测已知计算机的尝试。Microsoft 建议将“Windows 防火墙：阻止对多播或广播请求的单播响应”设置配置为“已启用”，以帮助防止这种攻击。

注意：如果单播消息是对计算机发送的 DHCP 广播消息的响应，此策略设置不起作用。Windows 防火墙总是允许那些 DHCP 单播响应。但是，此策略设置可能干扰检测名称冲突的 NetBIOS 消息。

Windows 防火墙：定义端口例外

Windows 防火墙端口例外列表应由组策略定义，它允许您集中管理和部署端口例外，并确保本地管理员不创建安全性较差的设置。

如果启用“Windows 防火墙：定义端口例外”设置，您可以查看和更改由组策略定义的端口例外列表。要查看和修改端口例外列表，请将该设置配置为“已启用”，然后单击“显示”按钮。注意，如果您输入无效的定义字符串，Windows 防火墙会将其添加到列表，而不检查是否有错误，这意味着您可能会意外地为同一端口创建多个其范围或状态值冲突的条目。

如果禁用“Windows 防火墙：定义端口例外”设置，由组策略定义的端口例外列表将被删除，但其他设置可以继续打开或阻止端口。同时，如果存在本地端口例外列表，它会被忽略，除非启用“Windows 防火墙：允许本地端口例外”设置。

如果环境中的非标准应用程序需要打开特定端口，则应视为程序例外，而不是端口例外。Microsoft 建议将“Windows 防火墙：定义端口例外”设置配置为“已启用”，并且只有当无法定义程序例外时才指定端口例外列表。程序例外允许 Windows 防火墙只有当正在运行指定的程序时才接受未经传入的网络通信，端口例外始终会打开指定的端口。

Windows 防火墙：允许本地端口例外

此策略设置允许管理员使用控制面板中的 Windows 防火墙组件定义本地端口例外列表。Windows 防火墙可以使用两个端口例外列表；其他由“Windows 防火墙：定义端口例外”设置定义。

如果启用“Windows 防火墙：允许本地端口例外”设置，控制面板中的 Windows 防火墙组件允许管理员定义本地端口例外列表。如果禁用此策略设置，控制面板中的 Windows 防火墙组件不允许管理员定义这样的列表。

通常，在 EC 或 SSLF 安全环境中，本地管理员没有被授权覆盖组织策略和建立其自己的端口例外。因此，Microsoft 建议将“Windows 防火墙：允许本地端口例外”设置配置为“已禁用”。

返回页首

用户配置设置

本章的其余部分讨论用户配置设置建议。记住，这些设置需要应用到用户，而不是计算机。应在链接到 OU 的组策略中实施这些设置，该 OU 包含您希望配置的用户。您可能需要参考第 2 章中的图 2.3“展开的 OU 结构，包括基于 Windows XP 的桌面和便携式计算机 ”来刷新内存。这些设置在组策略对象编辑器的下列位置进行配置：

用户配置\管理模板

此位置具体显示如下图：

图 4.5 用户配置的组策略结构

请通过链接至 OU（包含用户帐户）的 GPO 来应用这些设置。

注意：用户配置设置应用于 Active Directory 域中有用户登录的任何基于 Windows XP 的计算机。但是，计算机配置设置则应用于 Active Directory 中由 GPO 管理的所有客户端计算机，而不管是哪个用户登录到计算机。因此，本节中的表格仅包含适用于本章中论述的 EC 和 SSLF 环境的推荐设置。这些设置建议不针对便携式或桌面计算机。

Windows 组件

下图说明受“Windows 组件”部分的设置更改影响的组策略部分：

图 4.6 用户配置“Windows 组件”的组策略结构

Internet Explorer

您可以在组策略对象编辑器的下列位置中配置下列规定的用户设置：

用户配置\管理模板\Windows 组件\Internet Explorer

下表汇总了推荐的 Internet Explorer 用户配置设置。表后的小节提供了有关每个设置的附加信息。

表 4.27 推荐的 InternetExplorer 用户配置设置

设置	EC 计算机	SSLF 计算机
浏览器菜单\禁用“将该程序保存到磁盘”选项	未配置	已启用
Internet 控制面板\禁用高级页	未配置	已启用
Internet 控制面板\禁用安全页	未配置	已启用
脱机页\禁用添加频道	已启用	已启用
脱机页\禁用添加脱机页计划	已启用	已启用
脱机页\禁用所有已计划的脱机页	已启用	已启用
脱机页\完全禁用频道用户界面	已启用	已启用
脱机页\禁用下载站点预订内容	已启用	已启用
脱机页\禁用编辑和创建计划组	已启用	已启用
脱机页\禁用编辑脱机页计划	已启用	已启用
脱机页\禁用脱机页记数	已启用	已启用
脱机页\禁用删除频道	已启用	已启用
脱机页\禁用删除脱机页计划	已启用	已启用
配置 Outlook Express	已启用	已启用
禁用更改高级页设置	未配置	已启用
禁用更改自动配置的设置	未配置	已启用
禁用更改证书设置	未配置	已启用
禁用更改连接设置	未配置	已启用
禁用更改代理服务器设置	未配置	已启用
禁止自动完成功能保存密码	已启用	已启用

浏览器菜单\禁用“将该程序保存到磁盘”选项

此策略设置禁止用户将 Microsoft Internet Explorer 所下载的程序或文件保存到硬盘。如果启用此策略设置，用户无法通过“将该程序保存到磁盘”选项将程序保存到磁盘。程序文件不会被下载，并且系统将通知用户该命令不可用。此策略设置可帮助保护高安全性环境，原因在于用户无法通过 Internet Explorer 下载潜在有害的程序并将其保存到磁盘。

仅对于 SSLF 环境，“浏览器菜单\禁用‘将该程序保存到磁盘’选项”设置才被配置为“已启用”。对于 EC 环境则不配置此策略设置。

Internet 控制面板\禁用高级页

此策略设置与其他设置相结合，可确保用户无法更改 Internet Explorer UI 的“高级”选项卡中配置的设置。

仅对于 SSLF 环境，“Internet 控制面板\禁用高级页”设置才被配置为“已启用”。对于 EC 环境则不配置此策略设置。

Internet 控制面板\禁用安全页

此策略设置与其他设置相结合，可确保用户无法更改通过组策略配置的设置。此策略设置将从“Internet 选项”对话框中删除“安全”选项卡。如果启用此策略设置，则用户无法查看和更改安全区域的设置，例如脚本、下载和用户验证。Microsoft 建议启用此策略设置，以便用户无法更改会削弱 Internet Explorer 中其他安全设置的设置。

仅对于 SSLF 环境，“Internet 控制面板\禁用安全页”设置才被配置为“已启用”。对于 EC 环境则不配置此策略设置。

脱机页\禁用添加频道

此策略设置禁止用户在 Internet Explorer 中添加频道。频道是运行 Internet Explorer 的计算机上自动更新的网站，更新计划由频道提供商指定。此策略设置是阻止 Internet Explorer 自动下载内容的众多设置之一。最佳做法是，仅允许计算机在用户直接从该计算机发出请求时从 Internet 下载页面。

因此，对于本章中论述的两种环境，“脱机页\禁用添加频道”设置被配置为“已启用”。

脱机页\禁用添加脱机页计划

此策略设置禁止用户指定可下载和脱机查看的网页。此功能允许用户在其计算机没有连接到 Internet 时查看网页。

对于本章中论述的两种环境，“脱机页\禁用添加脱机页计划”设置被配置为“已启用”。

脱机页\禁用所有已计划的脱机页

此策略设置禁用设置为下载网页以便可脱机查看的任何现有计划。如果启用此策略，“网页属性”对话框的“计划”选项卡上计划的复选框将被清除，用户无法选择它们。要显示此选项卡，用户可单击“工具”菜单、“同步”，选择网页，然后单击“属性”按钮和“计划”选项卡。此策略设置是阻止 Internet Explorer 自动下载内容的众多设置之一。

对于本章中论述的两种环境，“脱机页\禁用所有已计划的脱机页”设置被配置为“已启用”。

脱机页\完全禁用频道用户界面

此策略设置禁止用户查看“频道栏”界面。频道是计算机上自动更新的网站，计划由频道提供商指定。如果启用此策略设置，用户将无法访问“频道栏”界面，并在“显示属性”对话框中的“Web”选项卡上选择“Internet Explorer 频道栏”复选框。此策略设置是阻止 Internet Explorer 自动下载内容的众多设置之一。

对于本章中论述的两种环境，“脱机页\完全禁用频道用户界面”设置被配置为“已启用”。

脱机页\禁用下载站点预订内容

此策略设置禁止用户从网站下载预订内容。但是，当用户返回以前访问的页面以确定是否有内容已更新时，仍然会发生网页内容的同步。此策略设置是阻止 Internet Explorer 自动下载内容的众多设置之一。

对于本章中论述的两种环境，“脱机页\禁用下载站点预订内容”设置被配置为“已启用”。

脱机页\禁用编辑和创建计划组

此策略设置禁止用户添加、编辑或删除用于脱机查看已预订的网页和网页组的计划。预订组是收藏夹网页以及链接到它的网页。如果启用此策略，“网页属性”对话框中“计划”选项卡上的“添加”、“删除”和“编辑”按钮将会变灰。要显示此选项卡，用户可在 Internet Explorer 中依次单击“工具”和“同步”，选择一个网页，单击“属性”按钮，然后单击“同步”选项卡。此策略设置是阻止 Internet Explorer 自动下载内容的众多设置之一。

因此，对于本章中定义的两种环境，“脱机页\禁用编辑和创建计划组”设置被配置为“已启用”。

脱机页\禁用编辑脱机页计划

此策略设置禁止用户编辑设置为下载网页以便可脱机查看的任何现有计划。如果启用此策略，用户将无法显示已设置为脱机查看的网页的计划属性。当用户在 Internet Explorer 中单击“工具”、“同步”，选择某一网页，然后单击“属性”按钮时，将不显示属性。用户不会收到说明该命令不可用的任何消息。此策略设置是阻止 Internet Explorer 自动下载内容的众多设置之一。

对于本章中论述的两种环境，“脱机页\禁用编辑脱机页计划”设置被配置为“已启用”。

脱机页\禁用脱机页记数

此策略设置禁止频道提供商记录用户脱机查看其频道页面的频率。此策略设置是阻止 Internet Explorer 自动下载内容的众多设置之一。

对于本章中论述的两种环境，“脱机页\禁用脱机页记数”设置被配置为“已启用”。

脱机页\禁用删除频道

此策略设置禁止用户禁用 Internet Explorer 中的频道同步。最佳做法是，仅允许计算机在用户直接从该计算机发出请求时从 Internet 下载页面。

因此，对于本章中论述的两种环境，“脱机页\禁用删除频道”设置被配置为“已启用”。

脱机页\禁用删除脱机页计划

此策略设置禁止用户清除为要下载以便脱机查看的网页预先配置的设置。如果启用此策略设置，则预先配置的网页设置会受到保护。此策略设置是阻止 Internet Explorer 自动下载内容的众多设置之一。

对于本章中论述的两种环境，“脱机页\禁用删除脱机页计划”设置被配置为“已启用”。

配置 Outlook Express

此策略设置允许管理员启用和禁用 Microsoft Outlook® Express 用户保存或打开可能包含病毒的附件的能力。用户无法禁用“配置 Outlook Express”设置以使其无法阻止附件。要强制采用此策略设置，请单击“启用”，然后选择“阻止可能包含病毒的附件”。

对于本章中论述的两种环境，“配置 Outlook Express”设置被配置为“已启用”，并设置为“阻止可能包含病毒的附件”。

禁用更改高级页设置

此策略设置禁止用户更改 Internet Explorer 的“Internet 选项”对话框中“高级”选项卡上的设置。如果启用此策略设置，用户将无法更改浏览器中与安全、多媒体和打印相关的高级设置。并且，用户无法在“Internet 选项”对话框的“高级”选项卡上选择或清空这些选项的复选框。此策略设置还禁止用户更改通过组策略配置的设置。

仅对于 SSLF 环境，“禁用更改高级页设置”设置才被配置为“已启用”。对于 EC 环境则不配置此策略设置。

注意：如果配置了“禁用高级页”设置（位于“\用户配置\管理模板\Windows 组件\Internet Explorer\Internet 控制面板”中），则不需要配置此策略设置，原因在于“禁用高级页”设置将从“Internet 选项”对话框中删除“高级”选项卡。

禁用更改自动配置的设置

此策略设置禁止用户更改自动配置的设置。管理员使用自动配置来定期更新浏览器设置。如果启用此策略设置，Internet Explorer 中的自动配置设置将变灰。（这些设置位于“局域网设置”对话框的“自动配置”区域中）。此策略设置还禁止用户更改通过组策略配置的设置。

查看“局域网设置”对话框

打开“Internet 选项”对话框，然后单击“连接”选项卡。
单击“局域网设置”按钮查看设置。

仅对于 SSLF 环境，“禁用更改自动配置的设置”设置才被配置为“已启用”。对于 EC 环境则不配置此策略设置。

注意：“禁用连接页”设置（位于“\用户配置\管理模板\Windows 组件\Internet Explorer\Internet 控制面板”中）将在控制面板中从 Internet Explorer 中删除“连接”选项卡，并且优先于“禁用更改自动配置的设置”配置选项。如果启用了前一设置，后一设置将被忽略。

禁用更改证书设置

此策略设置禁止用户更改 Internet Explorer 中的证书设置。证书用于验证软件发行者的身份。如果启用此策略设置，“Internet 选项”对话框中“内容”选项卡上“证书”区域内的证书设置将变灰。此策略设置还禁止用户更改通过组策略配置的设置。

仅对于 SSLF 环境，“禁用更改证书设置”设置才被配置为“已启用”。对于 EC 环境则不配置此策略设置。

注意：启用此策略设置时，用户仍然可以双击软件发行证书 (.spc) 文件来运行证书管理器导入向导。此向导允许用户导入并配置尚未在 Internet Explorer 中配置的软件发布者的证书。

注意：“禁用内容页”设置（位于“\用户配置\管理模板\Windows 组件\Internet Explorer\Internet 控制面板”中）将在控制面板中从 Internet Explorer 中删除“内容”选项卡，并且优先于“禁用更改证书设置”配置选项。如果启用了前一设置，后一设置将被忽略。

禁用更改连接设置

此策略设置禁止用户更改拨号设置。如果启用此策略设置，“Internet 选项”对话框中“连接”选项卡上的“设置”按钮将变灰。此策略设置还禁止用户更改通过组策略配置的设置。对于出差途中需要更改连接设置的便携式计算机用户，您可能要禁用此策略设置。

仅对于 SSLF 环境，“禁用更改连接设置”设置才被配置为“已启用”。对于 EC 环境则不配置此策略设置。

注意：如果配置了“禁用连接页”设置（位于“\用户配置\管理模板\Windows 组件\Internet Explorer\Internet 控制面板”中），则不需要配置此策略设置。“禁用连接页”设置将从界面中删除“连接”选项卡。

禁用更改代理服务器设置

此策略设置禁止用户更改代理设置。如果启用此策略设置，代理设置将变灰。（代理设置位于“局域网设置”对话框的“代理服务器”区域中。当用户在“Internet 选项”对话框中单击“连接”选项卡，然后单击“局域网设置”按钮即可出现“局域网设置”对话框）。此策略设置还禁止用户更改通过组策略配置的设置。对于出差途中需要更改连接设置的便携式计算机用户，您可能要禁用此策略设置。

仅对于 SSLF 环境，“禁用更改代理服务器设置”设置才被配置为“已启用”。对于 EC 环境则不配置此策略设置。

禁止自动完成功能保存密码

此策略设置禁用网页表单中的用户名和密码的自动完成功能，并禁止提示用户保存密码。如果启用此策略设置，“表单上的用户名和密码”以及“提示我保存密码”复选框将变灰，用户将无法在本地保存密码。要显示这些复选框，用户可以打开“Internet 选项”对话框，单击“内容”选项卡，然后单击“自动完成”按钮。

对于本章中论述的两种环境，“禁止自动完成功能保存密码”设置被配置为“已启用”。

附件管理器

您可以在组策略对象编辑器的下列位置中配置下列规定的用户设置：

用户配置\管理模板\Windows 组件\
附件管理器

下表汇总了推荐的附件管理器用户配置设置。表后的小节提供了有关每个设置的附加信息。

表 4.28 推荐的附件管理器用户配置设置

设置	EC 计算机	SSLF 计算机
文件附件中不保留区域信息	已禁用	已禁用
隐藏删除区域信息的机制	已启用	已启用
打开附件时通知防病毒程序	已启用	已启用

文件附件中不保留区域信息

此策略设置允许您管理 Windows 是否使用有关其来源区域（例如，受限制、Internet、Intranet 或本地）的信息来标记来自 Internet Explorer 或 Outlook Express 的文件附件。此策略设置要求下载这些文件，NTFS 磁盘分区才能正确运行。如果不保留区域信息，Windows 将无法根据附件来自的区域作出正确的风险评估。

如果启用“文件附件中不保留区域信息”设置，将不使用附件的区域信息来标记文件附件。如果禁用此策略设置，则强制 Windows 存储文件附件及其区域信息。由于危险附件通常是从不受信任的 Internet Explorer 区域（如 Internet 区域）下载的，Microsoft 建议将此策略设置配置为“已禁用”，以确保保留每个文件以及尽可能多的安全信息。

对于本章中论述的两种环境，“文件附件中不保留区域信息”设置被配置为“已禁用”。

隐藏删除区域信息的机制

此策略设置允许您管理用户是否能从保存的文件附件中手动删除区域信息。通常，用户可以在文件的“属性”工作表中单击“取消阻止”按钮或在“安全警告”对话框中选择一个复选框。如果删除区域信息，用户可打开 Windows 已禁止用户打开的潜在危险的文件附件。

当启用“隐藏删除区域信息的机制”设置时，Windows 将隐藏复选框和“取消阻止”按钮。如果禁用此策略设置，Windows 将显示复选框和“取消阻止”按钮。由于危险附件通常是从不受信任的 Internet Explorer 区域（如 Internet 区域）下载的，Microsoft 建议将此策略设置配置为“已启用”，以确保保留每个文件以及尽可能多的安全信息。

对于本章中论述的两种环境，“隐藏删除区域信息的机制”被配置为“已启用”。

注意：要配置是否保存文件以及区域信息，请参阅以前的“文件附件中不保留区域信息”设置。

打开附件时通知防病毒程序

防病毒程序在许多环境中是必需的，可提供很强的防御攻击能力。

“打开附件时通知防病毒程序”设置允许您管理如何通知注册的防病毒程序。启用时，此策略设置将 Windows 配置为调用注册的防病毒程序，并让其扫描用户打开的文件附件。如果防病毒扫描失败，则无法打开附件。如果启用此策略设置，当打开文件附件时，Windows 不会调用注册的防病毒程序。要帮助确保在打开每个文件之前病毒扫描程序对其进行检查，Microsoft 建议在所有环境中将此策略设置配置为“已启用”。

对于本章中论述的两种环境，“打开附件时通知防病毒程序”设置被配置为“已启用”。

注意：必须安装经过更新的防病毒程序，此策略设置才能正常运行。许多更新的防病毒程序使用 SP2 附带的新 API。

Windows 资源管理器

Windows 资源管理器用于在运行 Windows XP Professional 的客户端计算机上导航文件系统。

您可以在组策略对象编辑器的下列位置中配置下列规定的用户设置：

用户配置\管理模板\Windows 组件\Windows 资源管理器

下表汇总了推荐的 Windows 资源管理器用户配置设置。表后的小节提供了有关每个设置的附加信息。

表 4.29 推荐的 Windows 资源管理器用户配置设置

设置	EC 计算机	SSLF 计算机
删除 CD 刻录功能	未配置	已启用
删除“安全”选项卡	未配置	已启用

删除 CD 刻录功能

此策略设置删除内置的、允许用户通过 Windows 资源管理器刻录 CD 的 Windows XP 功能。Windows XP 允许您在具有连接到计算机的读/写 CD 驱动器时，制作和修改可重写 CD。此功能可用于将大量数据从硬盘复制到 CD，然后可从计算机中删除这些数据。

对于 EC 环境，“删除 CD 刻录功能”设置被配置为“未配置”。然而，对于 SSLF 环境，此策略设置被配置为“已启用”。

注意：此策略设置不会阻止使用 CD 刻录机的第三方应用程序修改或制作 CD。本指南建议使用软件限制策略来阻止第三方应用程序创建或修改 CD。有关详细信息，请参阅第 6 章“Windows XP 客户端的软件限制策略”。

防止用户刻录 CD 的另一方式是从您的环境中的客户端计算机中删除 CD 刻录机或使用只读的 CD 驱动器代替刻录机。

删除“安全”选项卡

此策略设置禁用 Windows 资源管理器中文件和文件夹属性对话框上的“安全”选项卡。如果启用此策略设置，用户打开所有文件系统对象（包括文件夹、文件、快捷方式和驱动器）的“属性”对话框后将无法访问“安全”选项卡。由于“安全”选项卡不可访问，用户将无法更改设置或查看用户列表。

因此，对于 EC 环境，“删除‘安全’选项卡”设置被配置为“未配置”。然而，对于 SSLF 环境，此策略设置被配置为“已启用”。

系统

下图说明受“系统”部分的设置更改影响的组策略部分：

图 4.7 用户配置“系统”的组策略结构

您可以在组策略对象编辑器的下列位置中配置下列规定的用户设置：

用户配置\管理模板\系统

阻止访问注册表编辑工具

下表汇总了推荐的注册表编辑器用户配置设置。

表 4.30 推荐的注册表编辑器用户配置设置

设置	EC 计算机	SSLF 计算机
阻止访问注册表编辑工具	未配置	已启用

此策略设置禁用 Windows 注册表编辑器 Regedit.exe 和 Regedt32.exe。如果启用此策略设置，则当用户尝试使用注册表编辑器时，系统将显示一条消息，通知用户他们不能使用这些注册表编辑器。此策略设置禁止用户和入侵者使用这些工具访问注册表，但不会阻止访问注册表本身。

对于 EC 环境，“阻止访问注册表编辑工具”设置被配置为“未配置”。然而，对于 SSLF 环境，此策略设置被配置为“已启用”。

系统\电源管理

您可以在组策略对象编辑器的下列位置中配置下列规定的用户设置：

用户配置\管理模板\系统\电源管理

从休眠/挂起恢复时提示输入密码

下表汇总了推荐的“从休眠/挂起恢复时提示输入密码”配置设置。

表 4.31 推荐的系统\电源管理用户配置设置

设置	EC 计算机	SSLF 计算机
从休眠/挂起恢复时提示输入密码	已启用	已启用

此策略设置控制您的环境中的客户端计算机从休眠或挂起状态恢复操作模式时是否被锁定。如果启用此策略设置，当客户端计算机恢复操作模式时会被锁定，用户必须输入密码来解除锁定。如果禁用或不配置此策略设置，则可能发生潜在的严重安全违反，原因在于任何人均可以访问该客户端计算机。

因此，对于本章中论述的两种环境，“从休眠/挂起恢复时提示输入密码”设置被配置为“已启用”。

返回页首

总结

本章介绍了 Windows XP 附带的管理模板中可用的许多最重要的安全设置。您可以使用这些模板保护您的组织中运行 Windows XP 的桌面和便携式计算机。考虑组织的安全设置策略时，请记住安全性和用户效率之间存在权衡利弊，这一点十分重要。这样做的目的是通过安全的计算体验来防止用户受到恶意程序和病毒的攻击，从而使其在完成全部任务的同时，不必受到限制过多的安全设置约束。